Техническая информация
Вредоносные функции:
Выполняет код следующих детектируемых угроз:
- Adware.Gexin.2.origin
Осуществляет доступ к приватному интерфейсу ITelephony.
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) a####.b####.qq.com:8012
- TCP(HTTP/1.1) and####.b####.qq.com:80
- TCP(HTTP/1.1) a####.b####.qq.com:8011
- TCP(TLS/1.0) api.map.b####.com:443
- TCP(TLS/1.0) w####.pcon####.com.cn:443
- TCP(TLS/1.0) api.w####.com:443
- TCP(TLS/1.0) m.im####.com:443
- TCP(TLS/1.0) mr####.pc####.com.cn:443
- TCP(TLS/1.0) o####.map.b####.com:443
- TCP(TLS/1.0) c.im####.com:443
- TCP(TLS/1.0) loc.map.b####.com:443
- TCP(TLS/1.0) v.im####.com:443
- TCP(TLS/1.0) s####.ml####.cc:443
- TCP(TLS/1.0) din####.pch####.com.cn:443
Запросы DNS:
- a####.b####.qq.com
- aexcep####.b####.qq.com
- and####.b####.qq.com
- api.map.b####.com
- api.w####.com
- c.im####.com
- din####.pch####.com.cn
- loc.map.b####.com
- m.im####.com
- mr####.pc####.com.cn
- mr####.pch####.com.cn
- mr####.pcon####.com.cn
- o####.map.b####.com
- s####.ml####.cc
- v.im####.com
- w####.pcon####.com.cn
Запросы HTTP POST:
- a####.b####.qq.com:8011/rqd/async
- a####.b####.qq.com:8012/rqd/async
- and####.b####.qq.com/rqd/async
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/HttpLogDB.db-journal
- /data/data/####/MagazinePref.xml
- /data/data/####/authStatus_cn.com.pcgroup.magazine;remote.xml
- /data/data/####/bugly_db_legu-journal
- /data/data/####/cdn.db-journal
- /data/data/####/dso_deps
- /data/data/####/dso_lock
- /data/data/####/dso_manifest
- /data/data/####/dso_state
- /data/data/####/firll.dat
- /data/data/####/framwork.xml
- /data/data/####/gal.db
- /data/data/####/gal.db-journal
- /data/data/####/hst.db
- /data/data/####/hst.db-journal
- /data/data/####/httpdns.xml
- /data/data/####/launch.xml
- /data/data/####/libcuid.so
- /data/data/####/libnfix.so
- /data/data/####/libshella-2.9.0.2.so
- /data/data/####/libufix.so
- /data/data/####/local_crash_lock
- /data/data/####/magazine
- /data/data/####/magazine-journal
- /data/data/####/match_time.xml
- /data/data/####/mix.dex
- /data/data/####/mofan.config.xml
- /data/data/####/mofan.config.xml.bak
- /data/data/####/mofang_data_analysis.db-journal
- /data/data/####/mofang_data_analysis.xml
- /data/data/####/native_record_lock
- /data/data/####/ofl.config
- /data/data/####/ofl_location.db
- /data/data/####/ofl_location.db-journal
- /data/data/####/ofl_statistics.db
- /data/data/####/ofl_statistics.db-journal
- /data/data/####/persistent_data.xml
- /data/data/####/pre_province_cities.xml
- /data/data/####/preferences_subcolumn.xml
- /data/data/####/security_info
- /data/data/####/sp_key_space_list.xml
- /data/data/####/webview.db-journal
- /data/data/####/weibo_sdk_aid1
- /data/media/####/.cuid
- /data/media/####/.cuid2
- /data/media/####/2d9373655408b6cd20fc9c579897ab1d.0.tmp
- /data/media/####/2d9373655408b6cd20fc9c579897ab1d.1
- /data/media/####/60226bca6d84a72a849b0a905555d722.0.tmp
- /data/media/####/60226bca6d84a72a849b0a905555d722.1.tmp
- /data/media/####/6c5e3a0d7a7687523ce1728189f0fa57.0.tmp
- /data/media/####/6c5e3a0d7a7687523ce1728189f0fa57.1.tmp
- /data/media/####/73822fef8206adc0a1807c27ae0993ab.0.tmp
- /data/media/####/73822fef8206adc0a1807c27ae0993ab.1.tmp
- /data/media/####/805bcc988a9b824d63a4b2ec0d1c6fec.0.tmp
- /data/media/####/805bcc988a9b824d63a4b2ec0d1c6fec.1.tmp
- /data/media/####/a2125ae19a5442cd3c3b629300a5dc4b.0.tmp
- /data/media/####/a2125ae19a5442cd3c3b629300a5dc4b.1.tmp
- /data/media/####/b2e3727b18052c6db5cf2ce59d240e64.0.tmp
- /data/media/####/b2e3727b18052c6db5cf2ce59d240e64.1.tmp
- /data/media/####/conlts.dat
- /data/media/####/f0f5603eafca51556c45e2f8390a5905.0.tmp
- /data/media/####/f0f5603eafca51556c45e2f8390a5905.1.tmp
- /data/media/####/journal.tmp
- /data/media/####/ls.db
- /data/media/####/ls.db-journal
- /data/media/####/yoh.dat
- /data/media/####/yol.dat
- /data/media/####/yom.dat
Другие:
Запускает следующие shell-скрипты:
- /system/bin/sh -c getprop ro.aa.romver
- /system/bin/sh -c getprop ro.board.platform
- /system/bin/sh -c getprop ro.build.fingerprint
- /system/bin/sh -c getprop ro.build.nubia.rom.name
- /system/bin/sh -c getprop ro.build.rom.id
- /system/bin/sh -c getprop ro.build.tyd.kbstyle_version
- /system/bin/sh -c getprop ro.build.version.emui
- /system/bin/sh -c getprop ro.build.version.opporom
- /system/bin/sh -c getprop ro.gn.gnromvernumber
- /system/bin/sh -c getprop ro.lenovo.series
- /system/bin/sh -c getprop ro.lewa.version
- /system/bin/sh -c getprop ro.meizu.product.model
- /system/bin/sh -c getprop ro.miui.ui.version.name
- /system/bin/sh -c getprop ro.vivo.os.build.display.id
- /system/bin/sh -c type su
- chmod 700 <Package Folder>/tx_shell/libnfix.so
- chmod 700 <Package Folder>/tx_shell/libshella-2.9.0.2.so
- chmod 700 <Package Folder>/tx_shell/libufix.so
- getprop ro.aa.romver
- getprop ro.board.platform
- getprop ro.build.fingerprint
- getprop ro.build.nubia.rom.name
- getprop ro.build.rom.id
- getprop ro.build.tyd.kbstyle_version
- getprop ro.build.version.emui
- getprop ro.build.version.opporom
- getprop ro.gn.gnromvernumber
- getprop ro.lenovo.series
- getprop ro.lewa.version
- getprop ro.meizu.product.model
- getprop ro.miui.ui.version.name
- getprop ro.vivo.os.build.display.id
- getprop ro.yunos.version
- logcat -d -v threadtime
Загружает динамические библиотеки:
- Bugly
- libnfix
- libshella-2.9.0.2
- libufix
- locSDK7a
- nfix
- ufix
- weibosdkcore
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- AES-GCM-NoPadding
- DES-CBC-ZeroBytePadding
- RSA-ECB-PKCS1Padding
Использует следующие алгоритмы для расшифровки данных:
- AES-CBC-PKCS5Padding
- AES-GCM-NoPadding
- DES-CBC-PKCS5Padding
Использует специальную библиотеку для скрытия исполняемого байт-кода.
Получает информацию о местоположении.
Получает информацию о сети.
Получает информацию о телефоне (номер, IMEI и т. д.).
Получает информацию о настроках APN.
Получает информацию о запущенных приложениях.
Добавляет задания в системный планировщик.
Отрисовывает собственные окна поверх других приложений.
